Hive Systems weist darauf hin, dass selbst mit Bcrypt-Verschlüsselung jedes sechsstellige Passwort innerhalb eines Tages geknackt werden kann
Jedes Jahr veröffentlicht Hive Systems, ein in Virginia ansässiges Cybersicherheitsunternehmen, eine neue Tabelle mit Schätzungen zur Passwortsicherheit. Diese zeigen auf, wie lange es dauern würde, bis ein Hacker in der Lage ist, Passwörter unterschiedlicher Länge und Komplexität auszuhebeln.
Im Gegensatz zu Vorjahren gehen die Forscher nicht mehr davon aus, dass Passwörter mit MD5 gehasht werden. Wie sie feststellten, sind MD5-Hashes in der Regel besonders leicht auszuhebeln. Gemäß Hive Systems setzen Unternehmen daher zunehmend auf sicherere Algorithmen. Insbesondere würden sie dabei Bcrypt verwenden.
Hive Systems-Tests basieren auf Bcrypt-Passwort-Hashes
Bcrypt ist nicht die sicherste Lösung, aber basierend auf den von Hive Systems über „Have I Been Pwned“ gesammelten Daten haben User es in den letzten Jahren am häufigsten verwendet. Daher nutzen auch die Sicherheitsforscher in ihrer Studie zum Verschlüsseln die Blowfish-Variante mit 32 Iterationen.
Infolge ist die durchschnittliche Zeit, die die Forscher für Brute-Force-Angriffe auf Passwörter benötigten, im Vergleich zum Vorjahr gestiegen. Dennoch ist das kein Grund für Optimismus. Denn trotzdem wird so gut wie jedes sechsstellige Passwort innerhalb nur eines Tages geknackt. Im Extremfall lässt sich sogar auch der Bcrypt-Hash eines Passwortes mit 8 Zeichen in Kombination mit hoher Komplexität mittels 10.000 Nvidia A100-GPUs innerhalb von nur 5 Tagen knacken. Hingegen verlängert sich in diesem Fall die Entschlüsselungszeit bereits beim Einsatz von 12 A100-GPUs auf 12 Jahre.
Zwölf NVIDIA GeForce RTX 4090-GPUs kommen zum Einsatz
Hive Systems setzt bei ihren Tests auf eine Rechenleistung von zwölf RTX 4090-Grafikkarten, als beste Variante für Verbraucher, gegen eine Vielzahl von Passwörtern ein. Diese reichen von einem einfachen vierstelligen Passwort bis zu einem 18-stelligem mit Zahlen, Großbuchstaben, Kleinbuchstaben und Symbolen. Um hierbei das optimale Sicherheitsniveau „grün“ zu erreichen, sollte man ein Passwort mit mindestens 13 Zeichen, bestehend aus Zahlen, Groß-, Kleinbuchstaben und Symbolen verwenden.
Die Tests zeigten ferner, dass man jedes Passwort mit weniger als sieben Zeichen innerhalb von Stunden knacken konnte. Bei den letztjährigen Tests waren noch schwache 11-stellige Passwörter durch Brute-Force-Angriffe sofort knackbar. Mit Bcrypt dauert es nun 10 Stunden, das gleiche 11-stellige Passwort zu entschlüsseln.
Die Analyse von Hive Systems weist darauf hin, dass sichere Passwörter (die Zahlen, Groß- und Kleinbuchstaben sowie Symbole enthalten) und ziemlich sichere Passwörter (die Groß- und Kleinbuchstaben enthalten) schwer zu knacken sind, wenn sie mehr als acht Zeichen lang sind. Es dauert Monate oder Jahre, solche Passwörter auszuhebeln, wenn sie mit Bcrypt geschützt sind.
Zeitangaben als Best-Case-Szenario
Die Studie geht davon aus, dass der Angreifer einen Hash erhalten hat, der mit einem zufällig generierten Passwort verknüpft ist, und versucht, ihn zu knacken. Die Sicherheitsforscher stellen fest:
„Nicht zufällig generierte Passwörter sind viel einfacher und schneller zu knacken, weil Menschen ziemlich vorhersehbar sind. Daher dienen die Zeitrahmen in diesen Tabellen als Referenzpunkt für den „besten Fall. Passwörter, die nicht zufällig generiert wurden, würden deutlich schneller geknackt“.
Alex Nette, CEO und Mitbegründer von Hive Systems, führt aus:
„Angesichts der Daten und der zunehmenden Zeit, die Hacker zum Knacken von Passwörtern benötigen, könnte man leicht annehmen, dass die Cybersicherheitsbranche große Fortschritte beim Schutz unserer Daten gemacht hat. Bedauerlicherweise finden Hacker jedes Mal, wenn wir es schwieriger machen, neue Wege, selbst die stärksten Schutzmaßnahmen zu umgehen. Die in unserer Passworttabelle 2024 gezeigten erhöhten Zeiten sind vielversprechend, aber wir werden wahrscheinlich erleben, dass diese Zeiten in naher Zukunft wieder sinken, sobald die Rechenleistung zunimmt.“
Corey Neskey, VP of Quantitative Risk bei Hive Systems, ergänzt:
„Das Schöne an bcrypt ist, dass mit immer schnelleren Computern der Arbeitsaufwand für das Knacken von Passwörtern steigt. Ab einem bestimmten Punkt wird der Algorithmus jedoch frustrierend unbrauchbar für Webanwendungen und Websites, und so müssen Kompromisse eingegangen werden – was Hackern Chancen eröffnet.“